C. DES RÈGLES DE SUPERVISION ET DE PROTECTION DU CONSOMMATEUR AINSI QUE DES EXIGENCES DE SÉCURITÉ RENFORCÉES
La reconnaissance de nouveaux types de prestataires de services de paiement pouvant accéder aux comptes de paiement avec le consentement explicite du consommateur s'accompagne de la définition d'un dispositif renforcé de supervision, de protection du consommateur et de sécurité .
1. Un renforcement du cadre européen de supervision des prestataires de services de paiement
Les nouveaux instruments de paiement présentent des risques réels en matière de lutte contre le blanchiment de capitaux et de financement du terrorisme, en particulier en raison de l'anonymat qu'ils facilitent. De fait, si « depuis le début des années 2000, la France a mis une dizaine d'années pour développer une culture de conformité solide au sein de ses établissements bancaires, ce chantier est aujourd'hui rouvert auprès des nouveaux acteurs des services de paiement » 25 ( * ) . Ce risque concerne en particulier les initiateurs de paiement.
Dans cette perspective, la directive du 25 novembre 2015 étaye l'harmonisation de la supervision européenne , en intégrant les acteurs du paiement dans le système européen de surveillance financière, avec une triple avancée .
D'abord, les autorités de régulation doivent échanger davantage d'informations (article 26). Tout incident intervenu doit être reporté par le prestataire de services de paiement au régulateur national - la Banque de France et l'Autorité de contrôle prudentiel et de résolution (ACPR) en France. Les éléments importants sont ensuite communiqués par le régulateur national à l'Autorité bancaire européenne et à la Banque centrale européenne, cette dernière les centralisant pour les transmettre aux autres autorités nationales compétentes.
Ensuite, la cohérence de l'interprétation et de l'application des dispositions de la directive est protégée par le rôle dévolu à l'Autorité bancaire européenne. Dans le cadre de la coopération transfrontalière, cette dernière doit prêter assistance pour résoudre les différends entre autorités nationales compétentes (article 28).
Surtout, un « registre central » est créé par l'article 15 de la directive de 2015. Géré par l'Autorité bancaire européenne, ce registre agrège l'ensemble des informations inscrites dans les registres publics des régulateurs nationaux - à savoir la liste des établissements de paiement agréés et des prestataires enregistrés.
L'harmonisation de la supervision intéresse particulièrement les cas où les prestataires exercent leurs activités par le biais de la libre prestation de services. Le régulateur de l'État membre ayant délivré l'agrément ou dans lequel le prestataire est enregistré est alors compétent, et non celui du pays dans lequel le service est proposé.
Jérôme Reboul, sous-directeur des banques et des financements d'intérêt général à la direction générale du Trésor, précisait ainsi devant la commission des finances du Sénat le 14 février 2018 que la directive du 25 novembre 2015 « vise à lutter contre le risque d'asymétrie règlementaire : en effet, ces acteurs pourraient choisir d'être agréés dans un pays qui serait moins-disant en termes de sécurité. La directive « DSP 2 » offre à cet égard la possibilité de mettre en oeuvre un certain nombre de mesures de sauvegarde. En particulier, elle permet à une autorité de supervision d'un pays, qui constaterait l'agissement d'un acteur en libre prestation de services dans des conditions non conformes aux dispositions de la directive, de se tourner vers l'autorité de supervision du pays où cet acteur a été agréé et lui demander de résoudre les difficultés qui résulteraient du comportement douteux de l'entité agréée. En outre, le superviseur peut prendre des mesures conservatoires temporaires, allant jusqu'à la suspension du service, si un acteur agréé dans un autre pays agissait dans des conditions qui ne seraient pas conformes à l'intérêt des consommateurs » 26 ( * ) .
2. Une protection du consommateur consolidée
De nombreuses dispositions de la directive « DSP 2 » concernent la protection du consommateur . À cet égard, les exigences qu'elle pose diffèrent selon l'utilisateur des services de paiement puisque, « ne se trouvant pas dans la même situation, consommateurs et entreprises n'ont pas besoin du même niveau de protection. Alors qu'il importe de garantir les droits des consommateurs au moyen de dispositions auxquelles il n'est pas possible d'être dérogé par contrat, il est judicieux de laisser les entreprises et les organisations en décider autrement lorsqu'elles n'ont pas affaire à des consommateurs » 27 ( * ) .
Ainsi, la franchise de responsabilité appliquée en cas de paiement non autorisé et consécutif à l'utilisation d'un instrument de paiement perdu, volé ou détourné, est ainsi abaissée de 150 euros à 50 euros (article 74 de la directive).
Surtout, l'article 94 de la directive précise l'articulation du principe de consentement explicite de l'utilisateur de services de paiement à donner accès à son compte de paiement avec les règles de protection des données personnelles 28 ( * ) .
La question se pose d'autant plus qu'il existe des situations pouvant conduire au traitement de données personnelles sans que le consentement « explicite » de l'utilisateur puisse être recueilli.
L'ordonnance du 9 août 2017 permet aux prestataires de services de paiement de mettre en oeuvre des traitements de données même en l'absence d'un tel consentement, dès lors qu'ils sont nécessaires pour garantir la prévention, la recherche et la détection des fraudes en matière de paiements , mais dans les conditions prévues par les règles en vigueur 29 ( * ) et sous le contrôle de la Commission nationale de l'informatique et des libertés (CNIL) . L'ordonnance du 9 août 2017 30 ( * ) confie ainsi à cette dernière la mission de veiller au respect des règles posées relatives à la protection des données personnelles, en lui permettant de recevoir par tous moyens les plaintes relatives aux infractions à ces dispositions.
3. Des exigences de sécurité accrues, mais à l'entrée en vigueur reportée au 1er septembre 2019
L'article 97 de la directive du 25 novembre 2015 rend obligatoire le recours à l'authentification forte du payeur pour toute opération initiée par voie électronique en matière de services de paiement 31 ( * ) . L'authentification forte doit conjuguer deux facteurs d'authentification distincts parmi la « connaissance » (quelque chose que seul l'utilisateur connaît), la « possession » (quelque chose que seul l'utilisateur possède) et l'« inhérence » (quelque chose que l'utilisateur est).
Des dérogations sont toutefois prévues pour certaines opérations de faible importance, tandis que les exigences sont réduites pour les entreprises. Ainsi, les autorités de surveillance nationale pourront accorder une dérogation à l'obligation d'authentification forte pour les paiements effectués par lots, auxquels ont recours la plupart des entreprises.
Surtout, la principale disposition de la directive en matière de sécurité concerne les modalités d'accès des prestataires de services de paiement aux données du compte de paiement . Il s'agit de prévoir un canal de communication sécurisé et standardisé permettant aux prestataires de services de paiement d'accéder aux données du compte de paiement en étant identifiés.
La directive permet deux solutions :
- soit l'adaptation de l'interface bancaire existante pour les clients ;
- soit la création d'une nouvelle interface spécifique pour les prestataires de services de paiement, souvent désignée sous le terme d'« interface de programmation applicative » ( application programming interface , API).
Les banques françaises ont fait le choix de développer des interfaces spécifiques , qui pourraient être mises en place d'ici à la fin de l'année 2018 32 ( * ) .
Deux exigences doivent être conciliées :
- d'une part, garantir la sécurité de l'accès au compte de paiement en assurant l'identification du prestataire de services de paiement, ce que la méthode actuelle d'extraction de données dite du « web scraping » non authentifié ne permet pas ;
- d'autre part, garantir l'effectivité de l'accès des prestataires de services de paiement aux comptes de paiement dès lors que le titulaire y a consenti. De fait, « les PSIP et les PSIC peuvent fournir leurs services [...] sans être obligés par le prestataire de services de paiement gestionnaire du compte d'appliquer un modèle commercial donné » 33 ( * ) .
La directive renvoie aux normes techniques de réglementation le soin de préciser les modalités concrètes de fonctionnement des interfaces de communication.
Les dispositions retenues dans l'acte délégué adopté par la Commission européenne et publié le 13 mars 2018 enserrent le développement de ces interfaces. En particulier, le gestionnaire de compte devra communiquer trois mois à l'avance tout changement important des spécifications de l'interface et devra fournir un environnement de test.
S'ils optent pour une interface spécifique, les gestionnaires de compte doivent mettre en place des mesures de sauvegarde d'urgence. Ce mécanisme de secours vise à garantir la continuité du service fourni et à préserver la concurrence loyale sur le marché.
Toutefois, une exemption est possible à condition que l'interface de communication spécifique pleinement opérationnelle soit conforme aux critères de qualité définis par les normes techniques de réglementation. Cette exemption est accordée par l'autorité nationale de régulation au cas par cas, après consultation de l'Agence bancaire européenne ; elle peut être révoquée sous certaines hypothèses 34 ( * ) .
Surtout, l'interface proposée par le gestionnaire de compte est dans l'obligation de fournir le même niveau de performance et de disponibilité ainsi que le même niveau de secours que celui mis en oeuvre par les interfaces réservées aux clients. L'article 28 de la directive prévoit que tout dysfonctionnement constaté en la matière pourra être remonté au régulateur national.
Toutefois, ces dispositions n'entreront en vigueur qu'à partir du 1 er septembre 2019 : jusqu'à cette date, la méthode actuelle du web scraping non identifié demeurera de facto applicable.
* 25 Voir « Les nouveaux instruments de paiement, avatars de la monnaie fiduciaire : de nouveaux facteurs de risque en matière de lutte contre le blanchiment de capitaux et le financement du terrorisme », Bruno Dalles, Réalités industrielles, novembre 2017.
* 26 Voir le compte-rendu de l'audition du 14 février 2018 .
* 27 Considérant n° 53 de la directive du 25 novembre 2015.
* 28 Issues en particulier du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.
* 29 À savoir la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ainsi que le règlement (CE) n° 45/2001 du Parlement européen et du Conseil du 18 décembre 2000 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données.
* 30 Articles 12 et 34.
* 31 Par exemple, l'accès au compte de paiement en ligne, l'initiation d'une opération de paiement électronique ou l'exécution d'une action susceptible de comporter un risque de fraude en matière de paiement.
* 32 Selon les indications de Mme Marie-Anne Barbat-Layani, directrice générale de la Fédération bancaire française devant la commission des finances du Sénat le 14 février 2018 .
* 33 Considérant n° 93 de la directive du 25 mai 2015.
* 34 Lorsqu'une interface spécifique cesse, durant plus de deux semaines consécutives, de satisfaire aux critères de qualité prévus par les normes techniques de réglementation. Dans ce cas, l'autorité nationale de régulation informe l'Agence bancaire européenne et veille à ce que la banque mette en place un mécanisme automatisé de secours, au maximum dans les deux mois.